APP下载

IMS网络中防火墙设备的具体应用

2017-11-04刘立斌

市场周刊 2017年9期
关键词:网络结构报文链路

刘立斌

IMS网络中防火墙设备的具体应用

刘立斌

复杂的网络环境和智能化的终端设备直接影响IMS用户使用感知,通过对现有网络部署应用的分析与研究,提出一种优化方案提高IMS网络的可靠性和安全性。

IMS;防火墙

一、引言

随着宽带技术快速发展,在数据网上进行多媒体通信已经成为一种普遍需求。IP多媒体子系统(IMS)是一种崭新的多媒体业务形式,采用SIP(Session Initiation Protocol)协议作为其会话控制协议,利用SIP简易、灵活、易扩展、协商便捷等优点来提高网络的未来适应能力。与传统PSTN相比,无论是所能提供的业务类型还是成本控制,IMS均有突出的优点。基于IP技术实现的IMS网络继承了IP的优点,同样也继承了IP网络的多种安全性和可靠性问题。所以,在IMS网络中部署防火墙是必不可少的环节,本文重点探究如何在IMS网络中部署防火墙,从而提高网络的安全性和可靠性。

二、网络的安全性和可靠性概念

(一)网络的安全性概念

网络的安全性是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露。网络设备作为基础设施是信息处理的关键所在,若其安全性能较低,整个网络安全性能更难以保障。一般在网络系统终端具有较高的交换信息能力情况下,网络安全性自然也会得到提高。同时需要注意的是所有信息产生后都会由网络系统承载,这就要对网络设备质量提出更高的要求。

尽管近几年运营商和大多企业对网络安全给予足够的重视,但由于技术的日新月异,使得提高网络安全性这一目标很难完全实现。本文研究主要从通过部署防火墙提高数据的安全性。

(二)网络的可靠性概念

网络的可靠性是指硬件的可靠性、软件的可靠性、人员的可靠性和环境的可靠性。影响网络可靠性的主要因素包括网络拓扑结构的可靠性和网络设备的可靠性。

计算机的网络结构包括星型结构、环型结构、网状结构和混合型结构。选择何种网络结构需要根据实际情况决定,没有哪种网络结构具备绝对的可靠性,这需要在网络部署完成后不断地升级与扩容,使其可靠性不断增强。网络设备的可靠性包括传输设备可靠性和数通设备可靠性。

三、防火墙的基本原理

(一)防火墙的基本概念

在实际的网络环境中,单一的安全防护技术不足以确保网络的安全,多种安全防护技术的综合应用才能够将安全风险控制在尽量小的范围内。

一般而言,构建一个安全防范体系具体实施的第一项内容就是在内部网络和外部网络之间构筑一道防线,以抵御来自外部的绝大多数攻击。完成这项任务的网络产品的作用类似于建筑行业中用于防止火灾蔓延的隔断墙,因此我们称这种网络产品为防火墙。

防火墙是监控可信任网络(内部网络)和不可信任网络(外部网络)之间的访问通道。它一方面阻止来自外部网络的用户对内部网络的未授权访问,另一方面允许内部网络的用户对外部网络进行访问。防火墙也可以作为一个访问因特网的权限控制关口,如允许组织内的特定的主机可以访问因特网。现在的许多防火墙同时还具有一些其他特点,如进行身份鉴别、对信息进行安全处理(如加密)等等。

防火墙不单用于对因特网的连接,也可以用来保护内部网络的大型机和重要的资源(如数据)。对受保护数据的访问都必须经过防火墙的过滤,即使网络内部用户要访问受保护的数据,也要经过防火墙。

(二)防火墙的基本功能

1.入侵防御(IPS)

IPS功能通过对应用协议的详细解析及异常检测,防御对网络终端应用的入侵攻击。其主要手段有深度检测和防护、IPS签名库和入侵攻击日志记录。

2.运营级 NAT(CGN)

由于移动宽带网络、物联网等新技术以及各种应用服务的高速发展,IPv4地址资源已经枯竭。IPv6是解决IPv4地址耗竭的根本办法,互联网向IPv6网络的过渡已刻不容缓。在目前IPv6尚未商用的情况下,一种优秀的过渡技术显得十分重要,NAT就是其中之一。常用的NAT技术有Dual-Stack+NAT444、6RD、DS-Lite和 NAT64。

选择哪种具体的过渡技术,与运营商拥有的IPv4地址数量、现有网络结构和流量模型、初期部署升级的难度以及后期演进思路等因素有关。

3.异常流量监管(Anti-DDoS)

当今网络威胁的种类、网络攻击的强度正呈几何速度增长,针对HTTP、HTTPS、SIP、DNS等应用层协议的攻击类型不断创新,使用传统的、基于Flow的大流量分析攻击的检测方法濒临失败。如何应对海量攻击和应用层攻击,保证网络稳定运行?如何降低维护成本,提高收益?这已经是运营商面临两大亟待解决的难题。异常流量监管(Anti-DDoS)正是解决两大难题的法宝。通常异常流量监管(Anti-DDoS)由检测中心、清洗中心和管理中心三部分组成。

4.安全策略

防火墙安全策略可以支持多种具体功能,如通过IPv4/IPv6的基本ACL和高级ACL实现增强的报文过滤功能;通过将某些可疑报文的源IP地址记录在黑名单列表中,系统丢弃黑名单用户的报文实现黑名单过滤恶意主机;提供诸如认证、授权方案,同时支持与计费服务器、记录服务器协同工作,对网络访问安全进行集中管理等多种认证方式;用于与GSN(GPRS Support Node)产品进行联合组网,保障GPRS(General Packet Radio Service)网络上的数据传输安全的GTP保护功能等。

四、防火墙在IMS网络中的部署

(一)场景分析

本文主要研究的场景为某运营商IMS环境,图1为具体拓扑,在整个环境中共分为三层。接入层为ISBC设备,负责接入用户端的语音设备,直接为用户提供丰富的语音业务,汇聚层主要由路由器和防火墙组成,其中路由器负责提供路由策略,防火墙处于IMS网络和Internet之间,负责有条件隔离两个网络的威胁,保证整个网络的安全性和可靠性;核心层由两台高性能核心路由器组成,负责将整个IMS网络的流量快速转发至Internet。IMS网络中的安全性和可靠性主要由汇聚层实现,本文主要从汇聚层两种设备的配合使用,尤其是防火墙设备的部署来实现IMS网络的安全可靠。

图1

(二)IMS网络可靠性保证

整个网络均采用双归属的架构方式,采用双机热备份的方式保证网络最基本的可靠性。当网络正常时,流量均通过主用设备转发,当网络设备或链路出现故障时,网络会自动切换至备用设备上,确保业务不间断或在最短的时间内恢复正常,详细见图2。

为了能满足上述需求,需要配置以下几种协议:

1.VRRP(Virtual Router Redundancy Protocol)

虚拟网关冗余协议是一种容错协议,通过对物理设备和逻辑设备的分离,实现在多个出口网关之间进行选路。通过对参数的设定,将两台设备,如两台防火墙、两台路由器虚拟成一台逻辑上的设备,由这一台逻辑设备转发用户报文,当其中一台物理设备发生故障,通过VRRP协议可以自动将流量切换至另外一台物理设备,对用户而言逻辑设备没有变化。

2.HRP(Huawei Redundancy Protocol)

该协议可以将动态状态数据和命令信息进行实时备份,确保不会因为主用设备的故障而导致与备用设备数据和命令的不一致。

3.IP-Link

即链路可达性检查,通过防火墙定时地向指定的目的IP进行ICMP回显请求,并等待应答。在设定的时限内未收到回应报文时,则认为当前链路发生故障,并进行与链路相关的后续操作。当原来认为故障的链路,在之后设定的时限内,有连续的3个回应报文收到,则认为链路故障已经消除,此时进行链路恢复的后续操作。

图2

(三)IMS网络安全性保证

IMS网络安全性主要通过防火墙设备安全策略实现,这里主要介绍安全区域的划分和包过滤的配置两种手段。

1.安全区域(Security Zone)

一个安全区域是若干接口的组合,这些接口所连接的用户具有相同的安全属性。每个安全区域具有全局唯一的安全优先级,即不存在两个具有相同优先级的安全区域。防火墙中默认定义Trust区域、DMZ区域和Untrust区域,安全级别由高到低。默认情况下,区域内数据流动不会触发安全策略检查,区域间的数据流动会触发安全策略的检查。所以安全区域的正确划分可以有效规避一定的安全问题。

2.包过滤

包过滤作为一种网络安全保护机制,用于控制在两个相同或不同安全级别网络之间数据的流入和流出,是防火墙安全功能的重要组成部分。对于需要转发的报文,防火墙先获取报文头信息,包括报文的源IP地址、目的IP地址、IP层所承载的上层协议的协议类型、源端口号和目的端口号等,然后和预先设定的过滤规则进行匹配,并根据匹配结果对报文采取转发或丢弃处理。为了实现包过滤功能,需要配置一系列的过滤规则。

五、结束语

网络给人们带来便捷的同时,也带来很多安全方面的困扰,网络开放性的特点使得网络容易遭受外界的攻击和自身缺陷产生的威胁,而单一无保护的网络结构容易带来可靠性的问题。要想解决这些困扰,必须不断完善网络结构,优化网络性能,将诸如防火墙技术和可靠性技术结合到一起使用。此外,正规的安全操作也不容忽视,只有这样,才能使网络既可靠又安全。

[1]李延斌.IMS网络安全部署策略研究[J].网络安全架构,2016:10-15.

[2]王桢,杨俊鹏.计算机网络技术与安全管理维护探讨[J].网络安全,2014:129-130.

[3]杨阳.论计算机网络的安全可靠性[J].无线互联科技,2016:36-37.

F224.33

A

1008-4428(2017)09-10-03

刘立斌,男,辽宁辽中人,高级工程师,现任中移铁通有限公司江苏分公司总经理。

猜你喜欢

网络结构报文链路
基于J1939 协议多包报文的时序研究及应用
一种移动感知的混合FSO/RF 下行链路方案*
以太网QoS技术研究及实践
基于凸优化的FSO/RF 自动请求重传协议方案
天空地一体化网络多中继链路自适应调度技术
快递网络结构研究进展
基于AutoML的保护区物种识别①
浅析反驳类报文要点
一种IS?IS网络中的链路异常检测方法、系统、装置、芯片
基于互信息的贝叶斯网络结构学习